0
0
이 사건에는 공격자가 Microsoft Teams 호출을 통해 사회 공학을 사용하여 사용자의 클라이언트를 가장하고 시스템에 대한 원격 액세스 권한을 얻는 것과 관련이 있었습니다. 공격자는 Microsoft 원격 지원 애플리케이션 설치에 실패했지만 피해자에게 원격 액세스에 일반적으로 사용되는 도구인 AnyDesk를 다운로드하도록 지시하는 데 성공했습니다. 공격자는 시스템에 액세스한 후 여러 개의 의심스러운 파일을 삭제했습니다.
이 파일 중 하나는 Trojan.AutoIt.DARKGATE.D로 탐지되었습니다. Autoit3.exe에 의해 실행된 명령은 잠재적인 명령 및 제어 서버와 연결되고 이후 악성 페이로드가 다운로드됩니다. 피해자의 컴퓨터에 영구 파일과 레지스트리 항목이 생성되었습니다. 그러나 데이터가 유출되기 전에 공격이 좌절되었습니다.
최근 사건에서는 공격자가 알려진 클라이언트의 직원으로 가장하고 Microsoft Teams 통화를 통해 사용자를 표적으로 삼는 것이 관찰되었습니다. 사용자는 원격 데스크톱 애플리케이션 AnyDesk를 다운로드하라는 지시를 받았으며, 이는 DarkGate 악성 코드의 배포를 촉진했습니다. AutoIt 스크립트를 통해 배포된 DarkGate는 사용자 컴퓨터에 대한 원격 제어를 활성화하고, 악성 명령을 실행하고, 시스템 정보를 수집하고, 명령 및 제어 서버에 연결했습니다.
피해자는 처음에 수천 통의 이메일을 받았습니다.
그 후 그녀는 외부 공급업체의 직원이라고 주장하는 누군가로부터 Microsoft Teams 전화를 받았습니다.
통화 도중 피해자는 마이크로소프트 원격 지원 애플리케이션을 다운로드하라는 지시를 받았지만 마이크로소프트 스토어를 통한 설치는 실패했다. 그런 다음 공격자는 피해자에게 브라우저를 통해 공식 사이트에서 AnyDesk를 다운로드하도록 지시하고 그녀가 자격 증명을 입력하도록 조작했습니다. 다운로드 후 잠시 후 다음 명령으로 AnyDesk.exe가 실행되었습니다.
“C:\Users\\Downloads\AnyDesk.exe” –로컬 서비스
이 명령은 AnyDesk를 로컬 서비스로 실행하여 높은 권한으로 작동할 수 있도록 합니다.
여러 단계에 걸쳐 진행된 이번 침해는 강력한 보안 조치의 필요성과 사회공학 공격에 대한 인식 제고가 중요함을 강조합니다. 조직에서는 직원들이 예상치 못한 기술 지원 요청, 특히 원격 액세스 도구 설치와 관련된 요청을 인식하고 적절하게 대응할 수 있도록 잘 교육해야 합니다. 효과적인 방어에는 다음이 포함됩니다.
– 다단계 인증을 구현합니다.
– 정기적인 보안 인식 교육을 실시합니다. – 엔드포인트 탐지 및 대응(EDR) 도구를 활용하여 이러한 공격을 모니터링하고 완화합니다. 이 사건은 정교한 사회 공학 전술과 맬웨어 침입을 방어하는 데 있어서 경계심과 강력한 사이버 보안 관행의 중요성을 강조합니다.
(이것은 신디케이트된 뉴스피드에서 편집되지 않은 자동 생성된 기사입니다. 파이에듀뉴스 직원이 콘텐츠 텍스트를 변경하거나 편집하지 않았을 수 있습니다.)
